ATP Warnungen - Quelle nicht aufzufinden

Hallo zusammen,

aktuell sehe ich auf unserer UTM immer wieder ATP Meldungen.

Laut UTM kommen die Anfragen vom DC und wollen in Richtung Internet.

Auf dem DC im DNS.log steht als Quelle aber immer die UTM (die UTM selbst macht kein DNS, leitet die Anfragen von intern nur an die DCs weiter und dann via UTM raus ins Internet).

Entsprechend gehe ich davon aus, dass ein Client eine DNS Anfrage an sein Gateway (UTM) schickt, da warum auch immer der korrekte DNS Server nicht hinterlegt ist. Anfrage kommt also an der UTM an, die leitet weiter an den DC, der wiederum die Namensauflösung an die eingestellt DTAG-DNS-Server weiterleitet. 

Diese Weiterleitung vom DC macht dann ja scheinbar die ATP Meldung. Ich möchte aber gerne wissen wer die wirkliche Quelle der Meldung ist. Hat da jemand eine Idee? Verzweifle langsam.

Im Logging werde ich zu den gemeldeten Zeiten nicht fündig. Und der Sophos Support kann mir scheinbar auch nicht weiterhelfen und meldet sich auch seit Tagen nicht mehr.

Grüße

Marc

Parents
  • Hey,

    du musst das Design von eurer DNS-Auflösung in eurem Netzwerk optimieren und zwar wie folgt:

    Deine Clients müssen euren internen Windows-DNS Server als DNS-Resolver (sprich, DHCP-Konfiguration anpassen) eingetragen haben. Der Windows DNS-Server hat als Weiterleitung die Sophos-Firewall-IP hinterlegt und die Sophos Firewall als DNS-Weiterleitung euren Provider-DNS. Bei der Sophos unter zugelassene DNS-Netzwerke natürlich nur eure Windows-DNS Server hinterlegen. Die Sophos Anfragerouten können wie es in der Anleitung steht konfiguriert werden. Wenn du dies so alles konfiguriert hast, dann hast du auch die Zuordnung DNS-Request <-> Clients im Log auf dem Windows DNS-Server. 

    So wäre dann der Ablauf in kurz:

    Client DNS-Anfrage -> Windows DNS-Server --> Sophos DNS-Server-> Provider DNS-Server

  • Eigentlich ist es ja auch so... Clients kriegen per DHCP den richtigen DNS mit. Ich nehme aber an, dass man auf der UTM ein forwarding gemacht hat, falls mal ein Client eine statische IP eingestellt hat und den internen DNS Server nicht eingetragen hat. So werden die Anfragen nach internen Resourcen auch an den internen DNS weitergegeben und nicht direkt von der UTM ins Internet geschickt. Das weiß ich noch nicht, dass muss noch geprüft werden.

    Die Einstellungen existieren schon länger als ich da bin und die die es gemacht haben sind es natürlich nicht mehr.

    Frage mich aber auch, wieso ich die initiale Anfrage an die UTM von dem unbekannten Client nicht sehe...

    Da der DC ja sagt, dass die Anfrage von der UTM kommt, kann ich mir nur vorstellen, dass ein Client ohne hinterlegten DNS Server an sein Standardgateway gibt (UTM) und die schickt es weiter an den DNS Server. 

  •  Eigentlich ist es ja auch so... Clients kriegen per DHCP den richtigen DNS mit.   --> Wer ist denn bei euch der richtige DNS-Server für die Clients? Die UTM oder der Windows Server? -> prüfen!

    Sophos -> DNS -> Zugelassene Netzwerke -> Nur der Windows DNS-Server hinterlegt?

    Sophos -> DNS-> Weiterleitung -> Nur euer Provider DNS-Server hinterlegt?

    Sophos -> DNS-> Anfragerouten -> Wie ist das dort konfiguriert?

  • Vorweg, wie gesagt, durch andere entstanden :P und ich kenne mich mit DNS nicht aus, verstehe es ehrlich gesagt auch gerade nciht mit den Forwarden und rekursiven DNS Server, google es erstmal...

    Eigentlich ist es ja auch so... Clients kriegen per DHCP den richtigen DNS mit.   --> Wer ist denn bei euch der richtige DNS-Server für die Clients? Die UTM oder der Windows Server? -> WIndows DNS Server

    Sophos -> DNS -> Zugelassene Netzwerke -> Nur der Windows DNS-Server hinterlegt? -> diverse interne Netze

    Sophos -> DNS-> Weiterleitung -> Nur euer Provider DNS-Server hinterlegt? -> nein, unsere DNS-Server + untendrunter "vom ISP zugewiesene Forwarder verwenden" angehakt...

    Sophos -> DNS-> Anfragerouten -> Wie ist das dort konfiguriert? -> gar nichts

  • 1. Dann ist doch jetzt ein guter Zeitpunkt gekommen, dass du das DNS bei euch optimieren könnt.

    2. Der Windows-DNS-Server ist bei den Clients via DHP wird automatisch (Server manuell) hinterlegt? --> Gut, kann so bleiben.

    3. Zugelassene Netzwerke -> das "(haupt)"interne Netzwerk wo der DNS-Server drin steht raus nehmen und dafür den nur Windows-DNS Server als statischer Host hinterlegen.

    4. Da haben wir es ja schon, das loopt doch schon. der Windows-DNS Server fragt die UTM an und die UTM fragt wiederum den Windows-DNS-Server an. Hier unter Weiterleitung euren Provider-DNS Server reinsetzen und den Haken weg machen "ISP zugew. Forwarder". 

    5.  Sophos Anfragerouten, hier Punkt "Request routing" & "Reverse DNS" konfigurieren --->  Sophos UTM: Best practices for DNS Configuration

  • (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I usually recommend DNS best practice.

    I suspect the log you should consult is the Intrusion Prevention log.  Please copy the relevant line here for us to see.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I usually recommend DNS best practice.

    I suspect the log you should consult is the Intrusion Prevention log.  Please copy the relevant line here for us to see.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data